Le dernier rapport Cloud & Threat Report de Netskope alerte sur une croissance significative des malwares diffusés par les usages clouds mais aussi le manque de rigueur dans le paramétrage des services et tâches hébergés sur AWS, Azure, GCP et consorts.

Plus l’usage du cloud s’étend et se diversifie, plus les menaces le concernant se multiplient. Un phénomène engendré par l’extension inhérente de la surface d’attaque mais aussi par des pratiques de résilience qui n’ont pas toujours été mises à jour pour s’aligner sur les changements imposés par le IaaS, le SaaS et le PaaS.

Au FIC 2021, Netskope est revenu sur les résultats de la 5ème édition de son Threat Report qui analyse les tendances dans l’utilisation des services et applications « dans le cloud ».

Parmi les chiffres clés de ce rapport, cinq ont particulièrement retenu notre attention :

1/ 97 % des applis cloud utilisées au sein des entreprises relèvent du Shadow IT

Le chiffre a de quoi faire frémir. Mais avec des équipes confinées chez elles, un côté « employés livrés à eux-mêmes » difficile à éviter et la nécessité d’inventer de nouvelles façons de travailler ensemble, toutes les conditions étaient réunies pour que le phénomène du Shadow IT ne fasse qu’empirer. Le rapport Netskope le confirme. Rappelons que le Shadow IT fait référence à l’usage par les employés d’apps et services qui ne sont ni approuvés, ni supportés, ni sécurisés par les équipes DSI de l’entreprise.
Selon Netskope, une entreprise – avec entre 500 à 2000 employés – utilise en moyenne 805 applications et services cloud différents ! Autrement dit, les collaborateurs de ces entreprises utilisent en moyenne 780 applications et services au nez et à la barbe de la DSI. Lorsqu’un phénomène est si répandu, le plus simple est encore de l’accepter et de faire en sorte pour la DSI de l’accompagner en mettant en place les garde-fous qui s’imposent pour contrer les comportements malveillants ou à risque.

2/ 97 % des utilisateurs de Google Workspace ont autorisé au moins une application tierce à accéder à leur compte Google professionnel.

Au-delà du phénomène Shadow IT, un autre phénomène assez proche est en passe de prendre de l’ampleur : l’usage « sauvage » de plug-ins venant se greffer sur les applications officiellement utilisées dans l’entreprise. La plupart des applications modernes telles que Google Workspace, Microsoft 365, Salesforce, Slack, Zappier, etc. sont des plateformes sur lesquelles viennent se greffer toutes sortes d’extensions. Comme le rappelle le rapport Netskope, « les plug-ins constituent une menace pour la sécurité de vos données lorsqu’ils permettent à des applis tierces d’accéder à vos données sensibles ». L’exemple le plus connu est celui de CamScanner un outil d’OCR utilisé plus de 100 millions de fois qui contenait du code malveillant et servait de cheval de Troie.

3/ 68% des malwares proviennent d’applis Cloud

Selon le rapport, les cyberattaquants se reposent de plus en plus sur les applis cloud courantes pour propager leurs malwares et contourner les défenses de l’entreprise : « Au second trimestre 2021, 68 % de tous les téléchargements de malwares se faisaient à partir d’applis cloud. Et 66,4 % de ces téléchargements étaient initiés à partir d’applis de stockage dans le Cloud. »
Les hackers ont de plus en plus recours aux applis cloud pour héberger leurs payloads malveillants et s’appuient sur les documents Microsoft Office pour mettre un pied dans la porte.
Au-delà des stockages Cloud (Box, Dropbox, GDrive, OneDrive…), les applications de collaborations avec leurs chats mais aussi les outils de développement (qui facilitent l’incorporation de bibliothèques et l’utilisation d’images docker qui peuvent être vérolées) constituent de nouvelles voies exploitées par les cyberattaquants pour propager leurs codes malveillants. Netskope a détecté et bloqué des malwares provenant de 290 applis cloud différentes au cours de la première moitié de 2021.

4/ 35 % des tâches au sein d’AWS, d’Azure et de Google Cloud Platform sont  » non restreintes « 

Plus d’un tiers (35 %) de toutes les tâches au sein d’AWS, d’Azure et de Google Cloud Platform sont  » non restreintes  » et transitent par l’internet public. Autrement dit, elles sont ouvertes à la consultation publique par n’importe qui sur Internet.
Ce chiffre rappelle une réalité : oui, les infrastructures clouds des hyperscalers sont plus sécurisées que celles de la plupart des entreprises. Mais la mise en œuvre des services par les entreprises demande de mettre en place des réflexions et des politiques appropriées, sinon quoi les informations peuvent aisément se retrouver accessibles au plus grand nombre.

5/ 3 fois plus de données transférées vers un compte perso, 30 jours avant un départ

« Les employés sur le départ téléchargent trois fois plus de données vers des applis personnelles au cours des 30 jours de leurs contrats, notamment par le biais de Google Drive et Microsoft OneDrive ». Voilà une nouvelle donnée qui doit attirer l’attention des DSI et des RSSI sur une pratique qui se généralise. Les employés qui quittent l’entreprise choisissent souvent de télécharger les données de l’entreprise qui pourraient leur être utiles ultérieurement sur leurs instances personnelles de stockage comme Google Drive ou OneDrive. L’opération est simple, rapide et finalement relativement « discrète ». « Avec la vague de départs volontaires provoquée par la crise sanitaire, le risque de voir les données d’entreprise s’exfiltrer de cette façon prend une toute nouvelle envergure », rappellent les rapporteurs.

Ce rapport montre une nouvelle fois la nécessité de repenser sa sécurité en l’adaptant aux usages du cloud. Il rappelle que la morphologie des risques ne cesse d’évoluer et que la résilience d’une entreprise doit s’inscrire dans une même dynamique et s’adapter en permanence. De quoi remettre en avant plan des sujets comme l’approche Zero Trust, le contrôle des comportements des utilisateurs et des devices, l’observabilité des interactions avec le Cloud et le Web…

Source : Netskope Cloud & Threat Report